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Bijlage 2 

Model Bewerkersovereenkomst 


Deze Model Bewerkersovereenkomst is een bijlage bij het Convenant Digitale Onderwijs¬ 
middelen en Privacy, Leermiddelen en Toetsen (hierna: Convenant) zoals dat gesloten is 
tussen de PO-Raad, VO-raad en de brancheorganisaties van educatieve uitgeverij (GEU), dis¬ 
tributeurs van leermiddelen (leden van sectie educatief van de Koninklijke Boekverkopersbond) 
en digitale dienstverleners in het onderwijs-ICT (vDOD). De uitgangspunten van deze Model 
Bewerkersovereenkomst sluiten aan bij de bepalingen in het Convenant, de Wet bescherming 
persoonsgegevens (hierna: Wbp), en de uitgangspunten zoals in jurisprudentie en de toe¬ 
zichthouder College bescherming persoonsgegevens (hierna: CBP) deze in richtsnoeren en 
uitspraken heeft aangegeven. 

In het Convenant is afgesproken dat Onderwijsinstellingen en Ketenpartijen dit model 
gebruiken bij het maken van afspraken. Indien geen gebruik kan worden gemaakt van 
(onderdelen van) de Model Bewerkersovereenkomst, dan kan daar alleen gemotiveerd en 
schriftelijk van worden afgeweken. Gezien het aantal bepalingen dat ofwel wettelijk is voor¬ 
geschreven, of waarvan het CBP aangeeft dat deze in de bewerkersovereenkomst moeten 
worden opgenomen, is de ruimte voor afwijking van de bepalingen in het model beperkt. 

Deze Model Bewerkersovereenkomst bevat twee bijlagen. In de Privacy Bijsluiter (Bijlage A) 
wordt een beschrijving gegeven van de dienstverlening, producteigenschappen en welke 
categorieën Persoonsgegevens er worden verwerkt. In de Technische en Organisatorische 
Maatregelen (Bijlage B) wordt omschreven welke beveiligingsmaatregelen er worden getroffen. 
De beveiliging dient een continu punt van aandacht en zorg te blijven. Beveiliging zal daarom 
vast onderdeel worden van overleg in het Ketenplatform, als bedoeld In artikel 8 van het 
Convenant, waarbij in gezamenlijkheid gestreefd zal worden naar een zo optimaal mogelijk 
beveiligingsniveau dat bovendien passend is gelet op de belangen van de Betrokkenen en 
de kosten die met de beveiliging gepaard gaan. 

Meer informatie en antwoorden op vragen over privacy en de wettelijke rechten en verplich¬ 
tingen voor Onderwijsinstellingen zijn te vinden op de websites van de sectorraden PO-Raad 
en VO-raad. 
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Partijen: 


1 Het bevoegd gezag van <naam + rechtsvorm onderwijsinstelling>, geregistreerd onder 
BRIN-nummer <brin> bij de Dienst Uitvoering Onderwijs van het Ministerie van Onder¬ 
wijs, gevestigd en kantoorhoudende aan <adres>, te (<postcode>) <plaats>, te dezen 
rechtsgeldig vertegenwoordigd door <functie + naam>, hierna te noemen: "Onderwijs¬ 
instelling". 


2 de besloten vennootschap <Naam> B.V., gevestigd en kantoorhoudende aan <adres>, 
te (<postcode>) <plaats>, te dezen rechtsgeldig vertegenwoordigd door <functie + 
naam>, hierna te noemen: "Bewerker" 

hierna gezamenlijk te noemen: "Partijen", of afzonderlijk: "Partij" 

Overwegen het volgende: 

a Onderwijsinstelling en Bewerker zijn een overeenkomst aangegaan waarbij <concrete 
omschrijving van de door Bewerker in opdracht van Onderwijsinstelling te leveren 
producten/diensten>, ('de Product- en Dienstenovereenkomst'). Deze Product- en 
Dienstenovereenkomst leidt ertoe dat Bewerker in opdracht van Onderwijsinstelling 
Persoonsgegevens verwerkt. 

b Partijen wensen, mede gelet op het bepaalde in artikel 14 Wet bescherming persoons¬ 
gegevens, in deze Bewerkersovereenkomst hun wederzijdse rechten en verplichtingen 
voor de Verwerking van Persoonsgegevens vast te leggen. 

Komen het volgende overeen: 


Artikel 1: Definities 

In deze Bewerkersovereenkomst wordt verstaan onder: 

a Betrokkene, CBP, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens, en 
Verantwoordelijke: de begrippen zoals gedefinieerd in artikel 1 van de Wbp; 

b Beveiligingsincident: de betekenis zoals weergegeven in artikel 8 lid 1 van deze Bewer¬ 
kersovereenkomst; 

c Bewerkersovereenkomst: deze Bewerkersovereenkomst, inclusief Bijlagen; 

d Bijlage: een bijlage bij deze Bewerkersovereenkomst, welke daarvan een onlosmakelijk 
deel uitmaakt; 

e Convenant: het Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en 
Toetsen; 

f Ketenplatform: het platform als bedoeld in artikel 8 van het Convenant; 

g Privacy Bijsluiter: de privacy bijsluiter zoals opgenomen in Bijlage A; 

h Product- en Dienstenovereenkomst: de overeenkomst tussen Onderwijsinstelling en 
Bewerker, zoals omschreven in overweging a; 

i Model Bewerkersovereenkomst: het model voor een bewerkersovereenkomst die als 
bijlage is bijgevoegd bij het Convenant; 

j Subbewerker: de partij die door Bewerker wordt ingeschakeld (als bewerker) ten be¬ 
hoeve van de Verwerking van de Persoonsgegevens in het kader van deze Bewerkers¬ 
overeenkomst en de Product- en Dienstenovereenkomst. 
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Artikel 2: Onderwerp en opdracht Bewerkersovereenkomst 


1 Deze Bewerkersovereenkomst is van toepassing op de Verwerking van Persoonsgege¬ 
vens in het kader van de uitvoering van de Product-en Dienstenovereenkomst. 

2 De Onderwijsinstelling verstrekt aan de Bewerker de opdracht tot Verwerking van 
Persoonsgegevens ten behoeve van de uitvoering van de Product-en Dienstenovereen¬ 
komst. 


Artikel 3: Rolverdeling 

1 Onderwijsinstelling is ten aanzien van de in diens opdracht uit te voeren Verwerkingen 
van Persoonsgegevens de Verantwoordelijke. Bewerker is bewerker in de zin van de 
Wbp. De Onderwijsinstelling heeft en houdt zelfstandige zeggenschap over het doel en 
de middelen van de Verwerking van de Persoonsgegevens. 

2 Bewerker draagt er zorg voor dat de Onderwijsinstelling voorafgaande aan het sluiten 
van deze Bewerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) 
die de bewerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie 
moet de Onderwijsinstelling in staat stellen een keuze te maken met betrekking tot de 
aangeboden diensten als zodanig, en daarnaast een afzonderlijke keuze te maken voor 
eventueel aangeboden optionele diensten. 

3 De in lid 2 bedoelde diensten, waaronder eventuele optionele diensten, moeten in de 
Privacy Bijsluiter bij deze Bewerkersovereenkomst in begrijpelijke taal zijn beschreven, 
waarna de Onderwijsinstelling geïnformeerd akkoord kan gaan met de afname van 
deze dienst(en). 

4 De Onderwijsinstelling kan verplicht zijn de Verwerking van de Persoonsgegevens te 
melden bij het CBP. De Onderwijsinstelling onderzoekt of zij hiervan is vrijgesteld en 
doet melding bij het CBP indien zij hiertoe verplicht is. 

5 Onderwijsinstelling en Bewerker verstrekken elkaar over en weer alle benodigde infor¬ 
matie teneinde een goede naleving van de relevante privacywet- en regelgeving moge¬ 
lijk te maken. 


Artikel 4: Privacy convenant 

1 Partijen onderschrijven de bepalingen in het Convenant Digitale Onderwijsmiddelen en 
Privacy - Leermiddelen en Toetsen. 


Artikel 5: Gebruik Persoonsgegevens 

1 Bewerker verplicht zich om de van Onderwijsinstelling verkregen Persoonsgegevens 
niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de 
wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is 
Bewerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan 
door de Onderwijsinstelling (mondeling, schriftelijk dan wel elektronisch) aan Bewerker 
zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van deze overeen¬ 
komst als na afloop daarvan. 
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2 Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoons¬ 
gegevens worden verwerkt, is uiteengezet in de Privacy Bijsluiter bij deze Bewerkers- 
overeenkomst. 

3 Bewerker onthoudt zich van verstrekking van Persoonsgegeven aan een Derde, tenzij 
deze uitwisseling plaatsvindt in opdracht van de Onderwijsinstelling of wanneer dit 
noodzakelijk is om te voldoen aan een op de Bewerker rustende wettelijke verplichting. 

4 Indien Bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken 
aan een Derde, verifieert Bewerker de grondslag van het verzoek en de identiteit van 
de verzoeker en informeert deze - indien wettelijk toegestaan - onmiddellijk, zo moge¬ 
lijk voorafgaand aan de verstrekking. Onderwijsinstelling hierover. 

5 [SPECIFIEKE BEPALING IN GEVAL VAN DISTRIBUTIE VAN LEERMIDDELEN: Partijen zullen jaar¬ 
lijks bij het opstellen van de leermiddelenlijsten voor het eerstvolgende schooljaar, welke 
leermiddelenlijsten ten behoeve van de uitvoering van de Product- en Dienstenovereenkomst 
worden opgesteld, de Privacy Bijsluiter aanvullen en/of wijzigen door het opnemen van de 
categorieën Persoonsgegevens en het gebruik dat van deze Persoonsgegevens wordt ge¬ 
maakt, met betrekking tot de (digitale) leermiddelen die op de desbetreffende leermiddelen¬ 
lijsten worden opgenomen.] 


Artikel 6: Geheimhouding 

1 Bewerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordi¬ 
gers en/of Subbewerkers, die betrokken zijn bij de Verwerking van de Persoonsgege¬ 
vens deze gegevens als vertrouwelijk behandelt. Bewerker bewerkstelligt dat voor een 
ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhou¬ 
dingsovereenkomst of -beding is gesloten. 

2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Onderwijsinstel¬ 
ling uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde 
te verstrekken, indien het verstrekken van de Persoonsgegevens aan een Derde nood¬ 
zakelijk is gezien de aard van de door Bewerker aan Onderwijsinstelling te verlenen 
diensten, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan 
een Derde te verstrekken. 


Artikel 7: Beveiliging en controle 

1 Bewerker zal, gelijk de Onderwijsinstelling, zorg dragen voor passende technische en 
organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of 
enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtne¬ 
ming van de stand van de techniek en de kosten gemoeid met de implementatie en de 
uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks 
met inachtneming van de risico's die het verwerken van Persoonsgegevens, en de aard 
daarvan, meebrengen. 

2 De maatregelen zoals genoemd in artikel 7.1 omvatten in ieder geval: 

a maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de 
Persoonsgegevens die in het kader van de Bewerkersovereenkomst worden verwerkt; 
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b maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke 
of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of on¬ 
rechtmatige opslag, toegang of openbaarmaking; 

c maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van 
Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten 
aan de Onderwijsinstelling; 

d een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens. 

3 Bewerker zal de door haar getroffen informatlebeveillgingsmaatregelen evalueren en 
verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikke¬ 
lingen daartoe aanleiding geven. 

4 In Bijlage B worden de afspraken tussen Partijen vastgelegd over de technische en orga¬ 
nisatorische beveiligingsmaatregelen, alsmede over de Inhoud en de frequentie van de 
rapportages die Bewerker aan de Onderwijsinstelling oplevert over de beveiligingsmaat¬ 
regelen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die 
de Onderwijsinstelling moet treffen. 

5 De Bewerker stelt de Onderwijsinstelling Is staat om te kunnen voldoen aan zijn wettelijke 
verplichting om toezicht te houden op de naleving van de technische en organisatorische 
beveiligingsmaatregelen door de bewerker. Naast rapportages door de Bewerker kan 
dat aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig 
controle- of bewijsmiddel. 

6 In aanvulling op artikel 7, lid 4 heeft de Onderwijsinstelling ten allen tijde het recht om, 
in overleg met de Bewerker en met inachtneming van een redelijke termijn, op eigen 
kosten, de door Bewerker genomen technische en organisatorische beveiligingsmaatre¬ 
gelen te laten toetsen door een onafhankelijke Register EDP auditor. Partijen kunnen in 
onderling overleg afspreken dat de audit wordt uitgevoerd door een door Bewerker in 
te schakelen gecertificeerde en onafhankelijke auditor die een derden-verklaring (TPM) 
afgeeft. De Onderwijsinstelling wordt geïnformeerd over de uitkomsten van de audit. 


Artikel 8: Beveiligingsincidenten 

1 Onder een Beveiligingsincident wordt een inbreuk verstaan op de beveiliging, bedoeld In 
artikel 7, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige 
nadelige gevolgen heeft voor de bescherming van Persoonsgegevens die worden Verwerkt. 

2 Bewerker heeft een beleid voor Beveiligingsincidenten voorhanden om te reageren op 
een Beveiligingsincident. Bewerker stelt de Onderwijsinstelling In staat om passende 
vervolgstappen te nemen ten aanzien van het Beveiligingsincident, waaronder het kun¬ 
nen informeren van Betrokkenen. 

3 Indien Onderwijsinstelling dan wel Bewerker een Beveiligingsincident vaststelt, zal deze 
de andere Partij informeren en zullen beide Partijen alle benodigde maatregelen nemen 
conform de wettelijke voorschriften om (verdere) schending of inbreuken betreffende 
de Verwerking de Persoonsgegevens te voorkomen, ofte beperken. 
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4 In geval van een Beveiligingsincident als omschreven in lid 1, zal Onderwijsinstelling 
voldoen aan wettelijke meldingsplichten. Op verzoek van de Onderwijsinstelling kan 
Bewerker Onderwijsinstelling hierbij bijstaan en adviseren. De Onderwijsinstelling 
zal de Betrokkenen, indien wettelijk vereist, informeren overeen dergelijke inbreuk. 
Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke 
verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de mel¬ 
dingsplichten. 

5 Over incidenten met betrekking tot de beveiliging die vallen buiten het bereik van lid 1, 
informeert de Bewerker de Onderwijsinstelling conform de afspraken zoals neergelegd 
in Bijlage B. 


Artikel 9: Procedure rechten betrokkenen 

1 Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de 
Persoonsgegevens wordt door de Bewerker onverwijld doorgestuurd naar de Onder¬ 
wijsinstelling, die verantwoordelijk is voor de afhandeling van het verzoek. 

2 Bewerker verleent Onderwijsinstelling - voor zover redelijkerwijs mogelijk - volledige 
medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen 
op grond van de Wbp, meer in het bijzonder de rechten van Betrokkenen zoals een 
verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoons¬ 
gegevens. Partijen zullen te goeder trouw overleggen over de redelijke verdeling van de 
eventuele kosten die hiermee gemoeid zijn. 


Artikel 10: Verwerking buiten de Europese Economische Ruimte 

1 Partijen zien er op toe dat voor zover Persoonsgegevens buiten de Europese Economi¬ 
sche Ruimte (verder: EER) worden Verwerkt, dit alleen plaatsvindt conform wettelijke 
voorschriften, en eventuele verplichtingen die in dit verband op Onderwijsinstellingen 
rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage A aangege¬ 
ven, inclusief een opgave van de landen waar de gegevens worden verwerkt. 


Artikel 11: Inschakeling Subbewerker 

1 Bewerker kan een Subbewerker inschakelen, van wie de identiteit en vestigingsgege- 
vens zullen worden opgenomen in de Privacy Bijsluiter. 

2 Bewerker verplicht iedere Subbewerker contractueel de geheimhoudingsverplichtingen, 
meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de 
Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen 
te voldoen aan het bepaalde in deze Bewerkersovereenkomst. 

3 Bewerker verplicht iedere Subbewerker contractueel om Persoonsgegevens niet verder 
te verwerken anders dan in het kader van deze Bewerkersovereenkomst is overeenge¬ 
komen. 
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Artikel 12: Bewaartermijnen en vernietiging Persoonsgegevens 


1 Onderwijsinstelling zal Bewerker adequaat informeren over (wettelijke) bewaartermijnen 
die van toepassing zijn op de Verwerking van Persoonsgegevens door Bewerker. 
Bewerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze 
bewaartermijnen. 

2 Onderwijsinstelling verplicht Bewerker om de in opdracht van Onderwijsinstelling Ver¬ 
werkte Persoonsgegevens bij de beëindiging van de Bewerkersovereenkomst te (doen) 
vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het 
kader van (wettelijke) verplichtingen, dan wel op verzoek van de Onderwijsinstelling. 

De Onderwijsinstelling kan op eigen kosten een controle laten uitvoeren of vernietiging 
heeft plaatsgevonden. 

3 Bewerker zal Onderwijsinstelling (schriftelijk of elektronisch) bevestigen dat vernietiging 
van de Verwerkte persoonsgegevens heeft plaatsgevonden. 

Bewerker zal alle Subbewerkers die betrokken zijn bij de Verwerking van de Persoons¬ 
gegevens op de hoogte stellen van een beëindiging van de Bewerkersovereenkomst en 
zal waarborgen dat alle Subbewerkers de Persoonsgegevens (laten) vernietigen. 


Artikel 13: Tegenstrijdigheid en wijziging Bewerkersovereenkomst 

1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze Bewerkersovereen¬ 
komst en de bepalingen van de Product- en Dienstenovereenkomst, dan zullen de 
bepalingen van deze Bewerkersovereenkomst leidend zijn. 

2 Indien Partijen van de artikelen in de Model Bewerkersovereenkomst door omstan¬ 
digheden moeten afwijken, of deze willen aanvullen, dan zullen deze wijzigingen en/of 
aanvullingen door Partijen worden beschreven en gemotiveerd in een overzicht dat als 
Bijlage C aan deze Bewerkersovereenkomst zal worden gehecht. Het bepaalde in dit lid 
geldt niet voor aanvullingen en/of wijzigingen van de Bijlagen A en B. 

3 Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van 
invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens de Onderwijs¬ 
instelling de keuze hiertoe aanvaard, de Onderwijsinstelling in begrijpelijke taal geïnfor¬ 
meerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt 
in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot 
een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en het inschakelen 
van een (andere) Subbewerker. De wijzigingen, zullen in Bijlage A worden opgenomen. 

4 Wijzigingen in de artikelen van de Bewerkersovereenkomst kunnen uitsluitend in 
gezamenlijkheid worden overeengekomen. 

5 In het geval enige bepaling van deze Bewerkersovereenkomst nietig, vernietigbaar of 
anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Bewer¬ 
kersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg 
treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen 
door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk 
rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins 
niet afdwingbare bepaling. 
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Artikel 14: Duur en beëindiging 


1 De looptijd van deze Bewerkersovereenkomst is gelijk aan de looptijd van de tussen 
Partijen gesloten Product- en Dienstenovereenkomst, inclusief eventuele verlengingen 
daarvan. 

2 Deze Bewerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Product¬ 
en Dienstenovereenkomst. De beëindiging van deze Bewerkersovereenkomst zal 
Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Bewerkersover¬ 
eenkomst die naar hun aard worden geacht ook na beëindiging voort te duren. 
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Bijlage A 


PRIVACY BIJSLUITER 
[naam product/dienst] 


Scholen maken in toenemende mate gebruik van digitale onderwijstoepassingen. Bij het 
gebruik en levering van deze producten en diensten zijn gegevens nodig die te herleiden 
zijn tot personen (zoals leerlingen). Scholen moeten met Bewerkers afspraken maken over 
het gebruik van die Persoonsgegevens. Deze bijsluiter geeft scholen informatie over de 
dienstverlening die bewerker verleent en welke persoonsgegevens de Bewerker daarbij 
verwerkt. Alles bij elkaar eigenlijk over de vraag "wie, wat, waar, waarom en hoe" wordt 
omgegaan met de privacy van de betrokken personen wiens gegevens worden uitgewisseld. 

Het gebruik van deze Privacy Bijsluiter helpt Onderwijsinstellingen om beter te begrijpen 
wat de werking van het product en/of dienst is en welke gegevens daarvoor worden uitge¬ 
wisseld. In het kader van de herkenbaarheid is het wenselijk dat Bewerkers zo veel mogelijk 
op uniforme wijze gebruik maken van de Privacy Bijsluiter. Afwijkingen van dit model zijn 
weliswaar mogelijk, maar dienen bij voorkeur beperkt te blijven. 


Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrij¬ 
ven, is het mogelijk de informatie op te nemen in separate Bijlage(n), welke als volgt ge¬ 
nummerd worden: "Bijlage Al", "Bijlage A2", etc.. Deze Bijlagen worden aan de Bewerkers- 
overeenkomst gehecht. 


A. Algemene informatie 

Naam product en/of dienst 
Naam Bewerker en vestigingsgegevens 
Beknopte uitleg en werking product en dienst 
Link naar uitgever en/of productpagina 
Doelgroep (zoals PO/VO, onderbouw/bovenbouw) 
Gebruikers (leerlingen/ouders/verzorgers/docenten) 


B. De specifieke diensten 

Omschrijving van de specifiek verleende diensten en bijbehorende Verwerkingen 

1 Verwerkingen die een onlosmakelijk onderdeel vormen van de aangeboden dienst. 

a [....] 
b [....] 

[....] 

2 Omschrijving van de optionele Verwerkingen die de bewerker aanbiedt 
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Toelichting: Het gaat hier om aanvullende diensten en bijhorende Verwerkingen die geen onlos¬ 
makelijk onderdeel vormen van de aangeboden dienst Dit zijn bijvoorbeeld optionele diensten 
voor de Onderwijsinstelling die behulpzaam kunnen zijn voor de Onderwijsinstelling tb.v. het 
primaire leerproces. 

De Onderwijsinstelling dient een keuze te maken (opdracht te geven) voor het afnemen van deze 
diensten. Dat kan door de keuze schriftelijk aan te geven in deze bijlage (bijvoorbeeld door het 
aanvinken van een tick-boxU). 

Instemming kan ook plaatsvinden doordat de Onderwijsinstelling in de praktijk de dienst 
activeert, bijvoorbeeld door een product of dienst aan of uit zetten. De Onderwijsinstelling die 
op deze wijze de keuze maakt, dient dit op basis van eerder verstrekte informatie (zoals bijvoor¬ 
beeld opgenomen in deze bijsluiter) te kunnen doen. 


C. Categorieën en soorten persoonsgegevens 

• Omschrijving en opsomming categorieën Persoonsgegevens die gebruikt worden: 

• Eventuele optionele Persoonsgegevens (die worden niet standaard gevraagd en 
opgeslagen): 

• Soorten van gegevens (zoals bijzondere gegevens, of financiële gegevens): 


D. Algemene informatie over getroffen beveiligingsmaatregelen: 

• Voor de genomen veiligheidsmaatregelen wordt kortheidshalve verwezen naar Bijlage B 
bij de Bewerkersovereenkomst. 

• Specifieke beveiligingsmaatregelen voor deze dienst/product [indien van toepassing]: 
Eventuele certificeringen: 

• Audits/derden-verklaringen: 

• Plaats/Land van opslag en Verwerking van de Persoonsgegevens: 

E. Subbewerkers 

• Bewerker maakt voor dienst/product gebruik van de volgende Subbewerkers: 
[partijnaam, beknopte omschrijving taak/dienst waaruit blijkt welke informatie wordt 
Verwerkt door deze Subbewerker] 

• Plaats/Land van opslag en Verwerking van de Persoonsgegevens (indien de Persoons¬ 
gegevens buiten de EER worden verwerkt wordt apart opgave gedaan van de landen 
waar de Persoonsgegevens worden verwerkt): 
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F. Contactgegevens 


Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze 
dienst, kunt u terecht bij: [contactgegevens] 


G. Versie 

[versie nummer en datum laatste aanpassing] 


Deze privacy bijsluiter maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant 
Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen - een initiatief van de PO-Raad, 
VO-raad, de verschillende betrokken ketenpartijen (GEU, KBb-e en vDOD), het ministerie van 
Onderwijs, Cultuur en Wetenschappen en het ministerie van Economische Zaken. 
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Bijlage B 

TECHNISCHE EN ORGANISATORISCHE BEVEILIGINGSMAATREGELEN 


De Bewerker is overeenkomstig de Wbp en artikel 7 Bewerkersovereenkomst verplicht technische en 
organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens. 


Indien de ruimte in deze bijlage onvoldoende is om de benodigde informatie te beschrijven, is het mogelijk de 
informatie op te nemen in separate Bijlage(n), welke als volgt genummerd worden: "Bijlage BI", "Bijlage B2", 
etc.. Deze Bijlagen worden aan de Bewerkersovereenkomst gehecht. 


Omschrijving van de maatregelen zoals bedoeld in artikel 1.2 
Bewerkersovereenkomst 

I Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot 
de Verwerking van Persoonsgegevens. 


Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Bewerker toegang hebben 
tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit 
mogen voeren met de persoonsgegevens. 

a (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens: 
b handelingen die deze medewerkers uitvoeren met de Persoonsgegevens: 


II Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen 

onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrecht¬ 
matige opslag. Verwerking, toegang of openbaarmaking. 


Meer in het bijzonder de uitwerking van de door Bewerker getroffen technische en 
organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm. 

[beschrijving beveiliging applicatie/platform] 

[beschrijving wijze van identificatie/authenticatie/autorisatie en beveiliging daarvan] 
[beschrijving beveiliging van wijze van uitwisseling/transport van gegevens] 


III Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking 
van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de 
Onderwijsinstelling. 


Zoals een periodieke analyse van (security) incidenten, het periodiek uitvoeren van een extern/intern 
kwetsbaarhedenonderzoek (ethical hack) of het periodiek uitvoeren van controles op beveiliging van systemen. 


Rapportage (artikel 7.4 van de Bewerkersovereenkomst) 

Bewerker rapporteert periodiek met een frequentie van [...] maal per jaar, uiterlijk op [...] aan Verant¬ 
woordelijke over de door Bewerker genomen maatregelen aangaande de getroffen technische en organisa¬ 
torische beveiligingsmaatregelen en eventuele aandachtspunten daarin. 

[contactgegevens helpdesk/servicedesk voor beveiligingsincidenten] 

Versie 

[versie nummer en datum laatste aanpassing] 

Deze bijlage maakt onderdeel uit van de afspraken die zijn gemaakt in het Convenant Digitale Onderwijsmiddelen 
en Privacy - Leermiddelen en Toetsen -, een initiatief van de PO-Raad, VO-raad, de verschillende betrokken 
ketenpartijen (GEU, KBb-e en vDOD), het ministerie van Onderwijs, Cultuur en Wetenschappen en het ministerie 
van Economische Zaken. 






